Notes de publication de Sophos SafeGuard Disk Encryption pour Mac 6.00.0

  • ID de l'article 116851
  • Mis à jour : 22 avr. 2014

Notes de publication de Sophos SafeGuard Disk Encryption pour Mac 6.00.0

Connu pour s'appliquer aux produits et aux versions Sophos suivants

Sophos SafeGuard Disk Encryption for Mac 6.00.0

Nouvelles fonctionnalités de la version 6.0

Affichage de l'état des données dans le SafeGuard Management Center et rapport d'inventaire avec SafeGuard Enterprise 6.0 

SafeGuard Enterprise est une solution de sécurité modulaire qui renforce la sécurité des ordinateurs d'extrémité Windows à l'aide de stratégies définies par l'administrateur. SafeGuard Enterprise permet le chiffrement intégral du disque, le chiffrement basé sur fichier, la gestion centralisée intégrée avec Active Directory, l'édition de rapports, l'authentification à multiples facteurs et bien d'autres fonctions de sécurité pour les systèmes d'extrémité Windows. Les systèmes d'extrémité sont administrés par les responsables de la sécurité SafeGuard Enterprise dans le SafeGuard Management Center. Pour plus d'informations sur SafeGuard Enterprise, consultez la page http://www.sophos.com/fr-fr/products/encryption/safeguard-enterprise.aspx et la documentation SafeGuard Enterprise.

Avec Sophos SafeGuard Disk Encryption 6.0, un package de configuration client (fichier .zip) peut être installé sur un Mac pour le connecter à l'environnement SafeGuard Enterprise (SafeGuard Management Center, serveur et base de données). Le Mac envoie son rapport de données d'inventaire à la base de données SafeGuard Enterprise. Dans le SafeGuard Management Center Inventory, les données d'inventaire du Mac s'affichent.

Ceci permet au responsable de la sécurité de SafeGuard Enterprise de vérifier si un Mac perdu ou volé est chiffré ou non.

L'inventaire comprend les détails suivants pour chaque machine dans Inventory :
  • Nom du Mac 
  • Version du système d'exploitation 
  • Type d'authentification au démarrage (Mac) 
  • État d'authentification au démarrage (activé/désactivé) 
  • Nombre de partitions en texte simple et chiffrées 
  • Heure du dernier contact serveur 
  • État (mis à jour oui/non) du certificat d'entreprise de SafeGuard Enterprise nécessaire pour connecter un Mac à SafeGuard Management Center. Le certificat est importé avec le package de configuration client. 
  • Détails de chiffrement par partition (nom et libellé du lecteur, type de partition, état de chiffrement, algorithme de chiffrement) 
  • Détails du certificat d'entreprise
L'authentification au démarrage peut être désactivée

Avec la version 6.0, il est désormais possible de désactiver l'authentification au démarrage. Si l'authentification au démarrage est désactivée, les partitions restent chiffrées, mais l'authentification interactive lors de la phase de préinitialisation n'est pas requise. Ceci est utile lorsque les Mac doivent être démarrés par éveil par appel réseau pour des tâches de système d'exploitation non annoncées.

Remarque : la désactivation de la POA réduit la sécurité du système et accroît les risques d'accès non autorisés aux données chiffrées.

L'authentification au démarrage peut être désactivée et activée via l'interface utilisateur ou SGADMIN. Les commandes SGADMIN sont :

  • sgadmin --poa on
  • sgadmin --poa off
Identification unique entre l'authentification au démarrage et la connexion Mac OS X comprenant une synchronisation par mot de passe simple

Sophos SafeGuard Disk Encryption pour Mac peut être exécuté dans un mode où les utilisateurs doivent seulement saisir leurs informations d'identification à l'authentification au démarrage après quoi ils sont automatiquement connectés à Mac OS X en tant qu'utilisateurs individuels. Pour l'identification unique ou Single Sign On, les utilisateurs doivent avoir les mêmes noms utilisateur et mots de passe à l'authentification au démarrage et dans Mac OS X.

De plus, de nombreuses conditions techniques préalables doivent être satisfaites pour l'identification unique. Pour plus d'informations, reportez-vous à la section Matériels, configurations et opérations non prises en charge .

Sophos SafeGuard Disk Encryption vous offre également une fonction de changement et de synchronisation des mots de passe à l'authentification au démarrage et dans Mac OS X. Sophos SafeGuard Disk Encryption 6.0 déclenche le changement de mot de passe et le permet pour les utilisateurs Mac OS X locaux ainsi que pour les comptes de mobilité Active Directory.

Prise en charge de l'algorithme de chiffrement AES de type matériel d'Intel (AES-NI)

La plupart des Mac disposent d'unités centrales Intel i5 et i7 prenant en charge AES-NI (Advanced Encryption Standard – New Instructions). Sophos SafeGuard Disk Encryption pour Mac 6.0 utilise AES-NI pour le chiffrement de groupes de données partout où cela est possible.

Sophos SafeGuard Disk Encryption réduit au minimum la perte de performances causée par le chiffrement. La majorité des disques durs fonctionnent à la même vitesse sans le chiffrement. Par conséquent, AES-NI est extrêmement intéressant si le disque dur est un SSD.

Mise à jour du certificat d'entreprise de SafeGuard Enterprise

SafeGuard Enterprise 6.0 offre une nouvelle fonction de mise à jour des certificats d'entreprise requis pour la connexion sécurisée des Mac à un environnement SafeGuard Enterprise (par exemple, si un certificat d'entreprise va expirer). Grâce à la version 6.0 de Sophos SafeGuard Disk Encryption pour Mac, vous importez un nouveau certificat d'entreprise pour maintenir la connexion avec l'environnement SafeGuard Enterprise.

Authentification en tant qu'utilisateur SafeGuard Admin requise pour la sauvegarde et la restauration des données d'authentification

Pour empêcher que des utilisateurs non autorisés restaurent les sauvegardes des données d'authentification Sophos SafeGuard Disk Encryption, les processus de sauvegarde et de restauration des données d'authentification exigent une authentification réussie en tant qu'utilisateur Admin SafeGuard.

Nouveaux commutateurs de ligne de commande

Sophos SafeGuard Disk Encryption 6.0 pour Mac propose des nouveaux paramètres de ligne de commande pour SGADMIN :

  • sgadmin --status
    Affiche des informations plus détaillées.
  • sgadmin --poa on
    Active l'authentification au démarrage.
  • sgadmin --poa on
    Désactive l'authentification au démarrage.
  • sgadmin --enable guimenu
    Affiche le menu Sophos SafeGuard Disk Encryption.
  • sgadmin --disable guimenu
    Masque le menu Sophos SafeGuard Disk Encryption.
  • sgadmin --synchronize
    Démarre une synchronisation des données avec le serveur SafeGuard Enterprise.
  • sgadmin --contact-interval “interval”
    Définit un nouvel intervalle de temps pour les processus de synchronisation des données entre le Mac et le serveur SafeGuard Enterprise.
  • sgadmin --import-config “/path/to/target/file”
    Importe un package de configuration client SafeGuard Enterprise (fichier .zip) pour connecter un Mac protégé par Sophos SafeGuard Disk Encryption au SafeGuard Management Center ou mettre à jour le certificat d'entreprise.
  • sgadmin --enable-sso
    Active l'identification unique à partir de la POA sur Mac OS X.
  •  sgadmin --disable-sso
    Désactive l'identification unique à partir de la POA sur Mac OS X.
  • sgadmin --backup-authentication
    Demande l'authentification en tant qu'utilisateur SafeGuard Admin.
  • sgadmin --backup-kernel
    Demande l'authentification en tant qu'utilisateur SafeGuard Admin.

Pour plus de détails sur ces commandes, saisissez "man sgadmin" sur la ligne de commande sur un Mac avec Sophos SafeGuard Disk Encryption pour Mac 6.0 installé.

Matériels et configurations pris en charge

Matériel (unité centrale 64 bits de type Intel seulement)

MacBook

MacBook Pro

MacBook Air

iMac

Mac mini

Mac Pro
  • EFI

    EFI32 (firmware)

    EFI64 (firmware)

    Avec la commande de terminal suivante, le firmware EFI peut être vérifié :

    "ioreg -l -p IODeviceTree | grep firmware-abi"

    La valeur renvoyée doit être "firmware-abi" = <"EFI64" > ou "firmware-abi" = <"EFI32" >.

  • Système d'exploitation

10.7 (Lion) niveau de correctif récent (au moins un niveau de correctif de la date de publication - février 2012)

10.6 (Snow Leopard) niveau de correctif récent

10.5 (Leopard) niveau de correctif récent

  • Mise à jour de Sophos SafeGuard Disk Encryption pour Mac

    Sophos SafeGuard Disk Encryption pour Mac 5.50.1 et 5.55 peuvent être mise à jour vers 6.0.

  • Mise à jour des versions Mac OS X

    Pour mettre à jour le système d'exploitation depuis Mac OS X 10.5 (Leopard) vers 10.6 (Snow Leopard) ou vers 10.7 (Lion), vous devez tout d'abord désinstaller Sophos SafeGuard Disk Encryption pour Mac. Cette étape inclut un déchiffrement final des partitions chiffrées.

    Après la mise à jour réussie, vous devez installer Sophos SafeGuard Disk Encryption 6.0 et chiffrer de nouveau les partitions.

    Veuillez changer vos règles d'exclusion pour votre configuration Time Machine : ajoutez “Library/LaunchDaemons/com.sophos.sgsd.plist” dans la liste.
Prise en charge de Bootcamp

Configurez une machine avec une partition Bootcamp avant d'installer Sophos SafeGuard Disk Encryption. La configuration ou la suppression d'une partition Bootcamp suite à l'installation de Sophos SafeGuard Disk Encryption n'est pas prise en charge. Notez que la modification ou le redimensionnement de la disposition de la partition suite à l'installation de Sophos SafeGuard Disk Encryption n'est pas pris en charge.

Si le système d'exploitation par défaut est changé de OS X à Windows, il ne pourra pas être restauré à OS X ni avec le Panneau de configuration Bootcamp de Windows, ni avec l'utilitaire du disque de démarrage d'OS X. Cette opération devra être effectuée à l'aide de la fonctionnalité fournie par Sophos SafeGuard Disk Encryption.

Vous pouvez définir le système de démarrage d'OS X des manières suivantes :

1. En utilisant l'interface utilisateur :
  • Ouvrez SafeGuard Disk Management.
  • Ouvrez le menu Modifier et sélectionnez Démarrer ce système d'exploitation par défaut. Authentifiez-vous en tant qu'administrateur OS X.

2. En utilisant Terminal :

  • Ouvrez un Terminal et saisissez “sudo sgadmin --set-boot”. Notez que l'authentification en tant qu'administrateur OS X est obligatoire.

Matériels, configurations et opérations non pris en charge

  • Matériel

    Matériel de type PowerPC

  • Système d'exploitation

    Version 10.4 et versions antérieures.

  • Bootcamp + SafeGuard Enterprise/SafeGuard Easy pour Windows

    Sophos SafeGuard Disk Encryption pour Mac prend en charge Bootcamp, mais SafeGuard Enterprise ne doit pas être installé dans la partition Windows. Cette restriction est valable jusqu'à mention contraire dans la documentation de SafeGuard Enterprise pour Windows.

  • Les restrictions suivantes s'appliquent au produit :

Sophos SafeGuard Disk Encryption pour Mac ne prend pas en charge les systèmes à double amorçage, c'est-à-dire plusieurs installations d'OS X sur le même Mac.

Sophos SafeGuard Disk Encryption pour Mac et Mac OS X 10.7 (Lion) FileVault 2 ne doivent pas être exécutés sur la même machine en même temps. Si vous avez l'intention d'utiliser Sophos SafeGuard Disk Encryption pour Mac, aucune partition locale ne doit être chiffrée par FileVault. Vous devez vous assurer que FileVault est désactivé avant d'installer Sophos SafeGuard Disk Encryption pour Mac. Si vous voulez utiliser FileVault, Sophos SafeGuard Disk Encryption pour Mac ne doit pas être installé.

N'installez pas le logiciel sur des systèmes ayant plus de 50 partitions.

Nous vous conseillons de ne pas chiffrer plus de cinq partitions simultanément.

Identification unique entre la POA de Sophos SafeGuard Disk Encryption et Mac OS X

La fonction d'identification unique (SSO, Single Sign On) de Sophos SafeGuard Disk Encryption dépend de deux paramètres Mac OS X. Il s'agit de Connexion automatique et Afficher la fenêtre de connexion. Connexion automatique doit être activé.

En général, le paramètre Afficher la fenêtre de connexion devrait être sans rapport, mais nous avons rencontré des problèmes lors de l'exécution sous Mac OS X 10.7 (Lion). Au moment de la publication de Sophos SafeGuard Disk Encryption pour Mac 6.0, la version en cours de Mac OS X est 10.7.2. Pour éviter des problèmes lors de l'exécution sous Mac OS X 10.7 (Lion), paramétrez Afficher la fenêtre de connexion sur Liste d'utilisateurs.

    1. Le paramètre “Afficher la fenêtre de connexion” ne doit pas être paramétré sur “Nom et mot de passe”.

      Sous Mac OS X 10.7 Afficher la fenêtre de connexion doit être paramétrée sur Liste d'utilisateurs. S'il est paramétré sur Nom et mot de passe sous Mac OS X 10.7 (Lion), un Single Sign On réussi fonctionne, mais le Mac OS X devient complètement inutilisable après un Single Sign On échoué. Ce qui signifie que vous ne pouvez plus vous connecter.

      Ceci peut par exemple se produire si les mots de passe d'un utilisateur dans la POA et dans Mac OS X sont désynchronisés ou si l'utilisateur SafeGuard n'existe pas dans Mac OS X. Veuillez vérifier l'article 116756 de la base de connaissances Sophos pour l'état actuel de ce problème rencontré avec Mac OS X 10.7.

    2. Pour utiliser la fonction Single Sign On de Sophos SafeGuard Disk Encryption, le paramètre “Connexion automatique” de Mac OS X ne doit pas être désactivé.

      Cela interrompt le processus Single Sign On dans la connexion Mac OS X et Mac OS X attend une opération de l'utilisateur. Le fait de cliquer sur l'un des noms utilisateur affichés fait continuer le processus de connexion du système. Peu importe le nom utilisateur sur lequel vous cliquez. Single Sign On se poursuit et l'utilisateur qui s'est connecté à l'authentification au démarrage est connecté à Mac OS X. sgadmin --enable-sso permet de s'assurer que ce paramètre est défini sur une valeur correcte (pas sur “Désactivé”). Mais vous ne devez pas le repasser sur Désactivé ultérieurement, pendant que le produit est installé ou que Sophos SafeGuard Disk Encryption Single Sign On est activé. Pour désactiver Single Sign On correctement, sgadmin --disable-sso doit être appelé. Ceci passe de nouveau le paramètre de Connexion automatique sur Désactivé et désactive Single Sign On.

Clavier : le code de traduction du clavier n'affecte que les touches normales et celles avec une touche de modification. Les touches du pavé non numérique ne sont pas assurées de fournir la même séquence de caractères en cas de modification de la disposition du clavier. Utilisez uniquement "0-9" dans ce bloc. En effet, EFI (Extensible Firmware Interface) ne renvoie qu'un caractère ANSII américain équivalent et aucune touche de modification. Lors de la traduction, la touche du clavier normal a la priorité sur la touche du pavé numérique. Ceci affecte les touches non numériques du pavé numérique comme '=', '/', '', '-', '+'. Ces touches peuvent devenir des caractères différents à cause de la disposition du clavier. Par exemple, sur un clavier allemand, la touche " du pavé numérique se transforme en caractère '(' du clavier. Le code a été mis au point et testé avec les claviers suivants : américain, français, allemand. Il n'y a aucune garantie que les autres claviers fonctionnent.

Partitionnement : suite à l'installation de Sophos SafeGuard Disk Encryption pour Mac, la modification de la configuration du partitionnement est impossible ou non prise en charge. Vous ne devez rien changer avec "gpt" ou "diskutil".
Important : si quelqu'un partitionne la machine, vous ne pourrez plus l'utiliser et vous devrez réinstaller complètement cette machine afin de la réutiliser.

Formatage : le formatage des partitions chiffrées n'est pas pris en charge. Si vous voulez supprimer toutes les données, nous vous conseillons de supprimer les fichiers ou de déchiffrer la partition, de la formater et de la chiffrer de nouveau.

Remarque : seuls HFS+ et HFS+ (journalisé) sont pris en charge. Le disque dur doit être partitionné GPT.

Mode disque cible : l'utilisation du mode disque cible n'est pas prise en charge, si la machine locale et le disque cible sont tous les deux chiffrés.

Les partitions en texte brut sur un disque cible peuvent seulement faire l'objet d'un accès en mode disque cible depuis une machine locale, si Sophos SafeGuard Disk Encryption pour Mac n'est pas installé sur cette dernière.

Si Sophos SafeGuard Disk Encryption pour Mac est installé sur la machine locale, il ne doit pas être installé sur la machine en mode disque cible. 

diskutil depuis un système lancé via l'initialisation du réseau : n'utilisez pas diskutil depuis un système lancé via l'initialisation du réseau lorsque les partitions locales sont chiffrées. Dans ce cas, diskutil ne reconnaît pas les partitions chiffrées et veut les initialiser. Cette opération peut entraîner une perte de données.

Suppression de partitions : la suppression d'une partition n'est pas prise en charge lors d'un chiffrement initial ou d'un déchiffrement final. De même, la suppression des partitions chiffrées n'est pas prise en charge. Les partitions doivent être tout d'abord déchiffrées, puis chiffrées de nouveau.

Partitions démontées et chiffrement/déchiffrement : le chiffrement initial ou le déchiffrement final de partitions non montées n'est pas pris en charge. De même, le démontage d'une partition pendant qu'elle est chiffrée ou déchiffrée n'est pas pris en charge. Cette opération peut entraîner une perte de données.

Les mises à niveau des systèmes d'exploitation (par exemple de 10.6 vers 10.7) ne sont pas prises en charge : il est nécessaire de déchiffrer tout d'abord les partitions de votre Mac avant de désinstaller Sophos SafeGuard Disk Encryption pour Mac. Ensuite, vous pouvez mettre à niveau le système d'exploitation, installer Sophos SafeGuard Disk Encryption pour Mac publié pour 10.7 et chiffrer de nouveau les partitions. 

Deep Sleep : lorsque Sophos SafeGuard Disk Encryption pour Mac est installé, la fonction d'hibernation "Deep Sleep" n'est pas prise en charge et elle est désactivée. Certaines applications n'enregistrent pas automatiquement leurs données lorsque le mode de mise en veille est activé. Au cas où le mode de mise en veille est utilisé pour une période étendue sans connexion au secteur et si une telle application est ouverte avec des données non enregistrées, les données peuvent être perdues.

Secteurs endommagés : nous vous conseillons de ne pas installer le produit si des secteurs sont endommagés sur votre disque dur. Le chiffrement initial ne s'arrête pas lorsque des secteurs endommagés sont trouvés, mais une entrée est créée dans le journal du noyau.

Chiffrement initial/déchiffrement final sur les partitions de données : avant de commencer à chiffrer une partition de données, assurez-vous que tous les fichiers présents sur cette partition sont fermés. Assurez-vous que tous les fichiers présents sur la partition de données à déchiffrer sont fermés pendant le déchiffrement.

Mise à jour de firmware : il est possible de mettre à jour le firmware d'un Mac, bien que Sophos SafeGuard Disk Encryption pour Mac soit installé. Il faut garder par contre à l'esprit certaines choses. Pour plus de détails, veuillez consulter l'article #111941 de la base de connaissances Sophos.

Utilisation du mode de démarrage sans échec de Mac OS X : lorsque vous démarrez sans extensions en mode sans échec, il est impossible d'utiliser sgadmin ou le menu SafeGuard. Ceci est dû au fait que Mac OS X ne charge pas les agents d'exécution / daemons (sgd) tiers lors du démarrage sans extensions et en mode sans échec. 

 
Si vous avez besoin de plus d'informations ou d'instructions, veuillez contacter le support technique.

Évaluez cet article

Très mauvais Excellent

Commentaires